Partage via

Déploiement de stratégies organisationnelles pour régir l’accès aux applications intégrées à Microsoft Entra ID

Dans les sections précédentes, vous avez défini vos stratégies de gouvernance pour une application et intégré cette application à Microsoft Entra ID. Dans cette section, vous allez configurer les fonctionnalités de gestion des droits et de l’accès conditionnel Microsoft Entra pour contrôler l’accès continu à vos applications. Vous allez établir :

  • Stratégies d’accès conditionnel, pour la manière dont un utilisateur s’authentifie auprès de Microsoft Entra ID pour une application intégrée à Microsoft Entra ID pour l’authentification unique
  • Des stratégies de gestion des droits d’utilisation, pour la façon dont un utilisateur obtient et conserve les affectations aux rôles d’application et à l’appartenance aux groupes.
  • Des stratégies de révision d’accès, pour la fréquence à laquelle les appartenances aux groupes sont révisées.

Une fois ces stratégies déployées, vous pouvez superviser le comportement continu de Microsoft Entra ID à mesure que les utilisateurs demandent et reçoivent l’accès à l’application.

Déployer des stratégies d’accès conditionnel pour l’application de l’authentification unique (SSO)

Dans cette section, vous allez établir les stratégies d’accès conditionnel qui sont dans l’étendue pour déterminer si un utilisateur autorisé est en mesure de se connecter à l’application, en fonction de facteurs tels que la force d’authentification ou l’état de l’appareil de l’utilisateur.

L’accès conditionnel est uniquement possible pour les applications qui s’appuient sur Microsoft Entra ID pour l’authentification unique. Si l’application ne peut pas être intégrée pour l’authentification unique, continuez avec la section suivante.

  1. Chargez le document de Conditions d’utilisation, si nécessaire. Si vous avez besoin que les utilisateurs acceptent les Conditions d’utilisation avant d’accéder à l’application, créez et chargez le document de Conditions d’utilisation afin qu’il puisse être inclus dans une stratégie d’accès conditionnel.
  2. Vérifiez que les utilisateurs sont prêts pour l’authentification multifacteur Microsoft Entra. Nous vous recommandons d’exiger l’authentification multifacteur Microsoft Entra pour les applications critiques pour l’entreprise intégrées via la fédération. Pour ces applications, il doit y avoir une stratégie qui exige que l’utilisateur ait respecté une exigence d’authentification multifacteur avant que Microsoft Entra ID ne l’autorise à se connecter à l’application. Certaines organisations peuvent également bloquer l’accès par emplacement ou exiger que l’utilisateur accède à partir d’un appareil inscrit. S’il n’existe pas de stratégie appropriée qui inclut les conditions nécessaires en matière d’authentification, d’emplacement, d’appareil et de Conditions d’utilisation, ajoutez une stratégie à votre déploiement d’accès conditionnel.
  3. Placez le point de terminaison web de l’application dans l’étendue de la stratégie d’accès conditionnel appropriée. Si vous disposez d’une stratégie d’accès conditionnel existante qui a été créée pour une autre application soumise aux mêmes exigences de gouvernance, vous pouvez mettre à jour cette stratégie pour qu’elle s’applique également à cette application, afin d’éviter d’avoir un grand nombre de stratégies. Une fois les mises à jour effectuées, vérifiez que les stratégies attendues sont appliquées. Vous pouvez voir quelles stratégies s’appliqueraient à un utilisateur avec l’outil de simulation d’accès conditionnel.
  4. Créez une révision d’accès périodique si des utilisateurs auront besoin d’exclusions de stratégie temporaires. Dans certains cas, il peut ne pas être possible d’appliquer immédiatement des stratégies d’accès conditionnel pour chaque utilisateur autorisé. Par exemple, certains utilisateurs ne disposent peut-être pas d’un appareil inscrit approprié. S’il est nécessaire d’exclure un ou plusieurs utilisateurs de la stratégie d’accès conditionnel et de leur autoriser l’accès, configurez une révision d’accès pour le groupe d’utilisateurs exclus des stratégies d’accès conditionnel.
  5. Documentez la durée de vie des jetons et les paramètres de session des applications. La durée pendant laquelle un utilisateur qui s’est vu refuser un accès continu peut continuer à utiliser une application fédérée dépend de la durée de vie de la session de l’application et de la durée de vie du jeton d’accès. La durée de vie de session pour une application dépend de l’application elle-même. Pour en savoir plus sur le contrôle de la durée de vie des jetons d’accès, consultez Durées de vie des jetons configurables.

Déployer des stratégies de gestion des droits d’utilisation pour automatiser l’attribution de l’accès

Dans cette section, vous allez configurer la gestion des droits d’utilisation Microsoft Entra afin que les utilisateurs puissent demander l’accès aux rôles de votre application ou aux groupes utilisés par l’application. Pour effectuer ces tâches, le rôle par défaut avec le moins de privilèges est le rôle Administrateur de gouvernance des identités, ou un autre utilisateur peut être délégué en tant que créateur de catalogue et également être le propriétaire de l’application.

Note

Conformément au principe du moindre privilège, nous vous recommandons d’utiliser ici le rôle Administrateur de gouvernance des identités.

  1. Les packages d’accès pour les applications régies doivent se trouver dans un catalogue désigné. Si vous n’avez pas encore de catalogue pour votre scénario de gouvernance des applications, créez un catalogue dans la gestion des droits d’utilisation Microsoft Entra. Si vous avez plusieurs catalogues à créer, vous pouvez utiliser un script PowerShell pour créer chaque catalogue, comme indiqué dans créer un catalogue à l’aide de PowerShell.
  2. Remplissez le catalogue avec les ressources nécessaires. Ajoutez l’application et tous les groupes Microsoft Entra dont l’application dépend, en tant que ressources dans ce catalogue. Si vous avez de nombreuses ressources, vous pouvez utiliser un script PowerShell pour ajouter chaque ressource à un catalogue, comme illustré dans l’ajout de l’application en tant que ressource au catalogue.
  3. Créez un package d’accès pour chaque rôle ou groupe que les utilisateurs peuvent demander. Pour chacune des applications et pour chacun des rôles ou groupes des applications, créez un package d’accès qui inclut ce rôle ou ce groupe comme ressource. À ce stade de la configuration de ces packages d’accès, configurez la première stratégie d’attribution de package d’accès dans chaque package d’accès sur une stratégie d’attribution directe, afin que seuls les administrateurs puissent créer des attributions. Dans cette stratégie, définissez les exigences de révision d’accès pour les utilisateurs existants, le cas échéant, afin qu’ils ne conservent pas un accès indéfini. Si vous avez de nombreux packages d’accès, vous pouvez utiliser un script PowerShell pour créer chaque package d’accès dans un catalogue, comme indiqué dans créer un package d’accès pour une application avec un seul rôle.
  4. Configurez les packages d’accès de façon à appliquer les exigences de séparation des tâches. Si vous avez des exigences de séparation des tâches, configurez les packages d’accès incompatibles ou les groupes existants pour votre package d’accès. Si votre scénario exige la capacité à substituer une vérification de séparation des tâches, vous pouvez également configurer des packages d’accès supplémentaires pour ces scénarios de substitution.
  5. Ajoutez les affectations d’utilisateurs existants, qui ont déjà accès à l’application, aux packages d’accès. Pour chaque package d’accès, affectez les utilisateurs existants de l’application dans le rôle correspondant ou les membres de ce groupe au package d’accès et à sa stratégie d’affectation directe. Vous pouvez affecter directement un utilisateur à un package d’accès à l’aide du Centre d’administration Microsoft Entra, ou en bloc via Graph ou PowerShell , comme indiqué dans l’ajout d’affectations d’utilisateurs existants.
  6. Élaborez des politiques supplémentaires pour permettre aux utilisateurs de demander l’accès. Dans chaque package d’accès, créez des stratégies d’attribution de package d’accès supplémentaires pour que les utilisateurs demandent l’accès. Configurez les exigences d’approbation et de révision d’accès périodique dans cette stratégie.
  7. Créez des révisions d’accès périodiques pour d’autres groupes utilisés par l’application. S’il existe des groupes utilisés par l’application, mais qui ne sont pas des rôles de ressources pour un package d’accès, créez des révisions d’accès pour l’appartenance à ces groupes.

Afficher les rapports sur l’accès

Microsoft Entra ID et Microsoft Entra ID Governance avec Azure Monitor fournissent plusieurs rapports pour vous aider à comprendre qui a accès à une application et si ces utilisateurs utilisent cet accès. Voici quelques-uns des éléments suivants :

Des rapports supplémentaires sont disponibles dans Microsoft Entra. Pour plus d’informations sur les rapports dans la gestion des droits d’utilisation, consultez Afficher les rapports et les journaux d’activité dans la gestion des droits d’utilisation.

Vous pouvez également utiliser Azure Data Explorer pour conserver et signaler les données actuelles ou historiques de Microsoft Entra, microsoft Entra ID Governance et d’autres sources. Pour plus d’informations, consultez Rapports personnalisés dans Azure Data Explorer à l’aide de données de Microsoft Entra ID.

Superviser afin d’ajuster les stratégies de gestion des droits d’utilisation et l’accès en fonction des besoins

À intervalles réguliers, par exemple toutes les semaines, tous les mois ou tous les trimestres, en fonction du volume des modifications d’attribution d’accès à votre application, utilisez le centre d’administration Microsoft Entra pour vérifier que l’accès est accordé conformément aux stratégies. Vous pouvez également veiller à ce que les utilisateurs identifiés pour approbation et révision soient toujours les personnes appropriées pour ces tâches.

  • Supervisez les attributions de rôles d’application et les modifications d’appartenance aux groupes. Si Microsoft Entra ID est configuré pour envoyer son journal d’audit à Azure Monitor, utilisez Application role assignment activity dans Azure Monitor pour superviser et signaler les attributions de rôles d’application qui n’ont pas été effectuées par le biais de la gestion des droits d’utilisation. S’il existe des attributions de rôles qui ont été créées directement par un propriétaire d’application, vous devez contacter ce propriétaire d’application pour déterminer si cette attribution a été autorisée. En outre, si l’application s’appuie sur des groupes de sécurité Microsoft Entra, vous devez aussi superviser les modifications apportées à ces groupes.

  • Surveillez également les utilisateurs auxquels l’accès est accordé directement au sein de l’application. Si les conditions suivantes sont remplies, il est possible qu’un utilisateur obtienne l’accès à une application sans faire partie de Microsoft Entra ID, ou sans être ajouté au magasin de comptes d’utilisateur des applications par Microsoft Entra ID :

    • L’application dispose d’un magasin de comptes d’utilisateur local dans l’application
    • Le magasin de comptes d’utilisateur se trouve dans une base de données ou dans un annuaire LDAP
    • L’application ne dépend pas uniquement de Microsoft Entra ID pour l’authentification unique.

    Pour une application ayant les propriétés indiquées dans la liste précédente, vous devez vérifier régulièrement que les utilisateurs ont été ajoutés au magasin d’utilisateurs local de l’application uniquement par le biais du provisionnement Microsoft Entra. Si des utilisateurs ont été créés directement dans l’application, contactez le propriétaire de l’application pour déterminer si cette affectation a été autorisée.

  • Vérifiez que les approbateurs et les réviseurs sont tenus à jour. Pour chaque package d’accès que vous avez configuré dans la section précédente, vérifiez que les stratégies d’attribution de package d’accès continuent d’avoir les approbateurs et les réviseurs appropriés. Mettez à jour ces stratégies si les approbateurs et les réviseurs précédemment configurés ne sont plus présents dans l’organisation ou ont un rôle différent.

  • Vérifiez que les réviseurs prennent des décisions pendant une révision. Vérifiez que les révisions d’accès périodiques pour ces packages d’accès sont menées à bien correctement, afin d’être sûr que les réviseurs participent et prennent des décisions pour approuver ou refuser le besoin d’accès continu des utilisateurs.

  • Vérifiez que le provisionnement et le déprovisionnement fonctionnent comme prévu. Si vous avez précédemment configuré le provisionnement des utilisateurs sur l’application, lorsque les résultats d’une révision sont appliqués, ou que l’affectation d’un utilisateur à un package d’accès expire, Microsoft Entra ID commence à déprovisionner les utilisateurs refusés de l’application. Vous pouvez surveiller le processus de déprovisionnement des utilisateurs. Si l’approvisionnement indique une erreur dans l’application, vous pouvez télécharger le journal d’approvisionnement pour voir s’il y a un problème avec l’application.

  • Mettez à jour la configuration Microsoft Entra avec tous les changements de rôle ou de groupe dans l’application. Si l’administrateur d’application ajoute de nouveaux rôles d’application dans son manifeste, met à jour les rôles existants ou s’appuie sur des groupes supplémentaires, vous devez mettre à jour les packages d’accès et les révisions d’accès pour prendre en compte ces nouveaux rôles ou groupes.

Étapes suivantes

  • Last updated on